internet防火墙
internet防火墙是这样的系统(或一组系统),它能增强机构内部网络的安全性。防火墙系统决定了那些内部服务可以被外界访问;外界的那些人可以访问内部的那些可以访问的服务,以及那些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往internet的信息都必须经过防火墙,接受防火墙的检查(图1)。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但不幸的是,防火墙系统一旦被攻击者突破或迂回,就不能提供任何的保护了。
图1安全策略建立的防御范围。
应给予特别注意的是,internet防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中,告诉用户们他们应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
internet防火墙负责管理internet和机构内部网络之间的访问(图2)。在没有防火墙时,内部网络上的每个节点都暴露给internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。
图2 internet防火墙的好处
internet防火墙的好处:
· 集中的网络安全
· 可作为中心“扼制点”
· 产生安全报警
· 监视并记录internet的使用
· nat的理想位置
· www和ftp服务器的理想位置
internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。internet防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。
在防火墙上可以很方便的监视网络的安全性,并产生报警。应该注意的是:对一个内部网络已经连接到internet上的机构来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。
过去的几年里,internet经历了地址空间的危机,使得ip地址越来越少。这意味着想进入internet的机构可能申请不到足够的ip地址来满足其内部网络上用户的需要。internet防火墙可以作为部署nat(network address translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换isp时带来的重新编址的麻烦。
internet防火墙是审计和记录internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供internet连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。
internet防火墙也可以成为向客户发布信息的地点。internet防火墙作为部署www服务器和ftp服务器的地点非常理想。还可以对防火墙进行配置,允许internet访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问。
也许会有人说,部署防火墙会产生单一失效点。但应该强调的是,即使到internet的连接失效,内部网络仍旧可以工作,只是不能访问internet而已。如果存在多个访问点,每个点都可能受到攻击,网络管理员必须在每个点设置防火墙并经常监视。
internet防火墙的限制
internet防火墙无法防范通过防火墙以外的其它途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过slip或ppp连接进入internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦,因而向isp购买直接的slip或ppp连接,从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能(图3)。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。
图3 绕过防火墙系统的连接
internet防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或pcmcia卡上,并将其带出公司。防火墙也不能防范这样的攻击:伪装成超级用户或诈称新雇员,从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对雇员们进行教育,让它们了解网络攻击的各种类型,并懂得保护自己的用户口令和周期性变换口令的必要性。
internet防火墙也不能防止传送已感染病毒得软件或文件。这是因为病毒的类型太多,操作系统也有多种,编码与压缩二进制文件的方法也各不相同。所以不能期望internet防火墙去对每一个文件进行扫描,查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件,防止病毒从软盘或其它来源进入网络系统。
最后一点是,防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到internet主机上。但一旦执行就开成攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。后面我们将会看到,在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式,并能减少数据驱动型攻击的威胁。
黑客的工具箱
要描述一个典型的黑客的攻击是很,因为入侵者们的技术水平和经验差异很大,各自的动机也不尽相同。某些黑客只是为了挑战,有一些是为了给别人找麻烦,还有一些是以图利为目的而获取机密数据。
信息收集
一般来讲,突破的第一步是各种形式的信息收集。信息惧收集的目的是构造目标机构网络的数据库并收集驻留在网络上的各个主机的有关信息。黑客可以使用下面几种工具来收集这些信息:
· snmp协议,用来查阅非安全路由器的路由表,从而了解目标机构网络拓扑的内部细节。
· traceroute程序能够得出到达目标主机所要经过的网络数和路由器数。
· whois协议是一种信息服务,能够提供有关所有dns域和负责各个域的系统管理员数据。不过这些数据常常是过时的。
· dns服务器可以访问主机的ip地址表和它们对应的主机名。
· finger协议能够提供特定主机上用户们的详细信息(注册名、电话号码、最后一次注册的时间等)
· ping实用程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中,可以ping网络上每个可能的主机地址,从而可以构造出实际驻留在网络上的主机的清单。
安全弱点的探测系统
收集到目标机构的网络信息之后,黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机:
· 由于已经知道的服务脆弱性较少,水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。
· 有几种公开的工具,如iss(internet security scanner, internet安全扫描程序),satan(security analysis tool for auditing networks,审计网络用的安全分析工具),可以对整个域或子网进行扫描并寻找安全上的漏洞。
这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁(patches)进行升级。
访问受保护系统
入侵者使用主机探测的结果对目标系统进行攻击。获得对受保护系统的访问权后,黑客可以有多种选择:
· 入侵者可能试图毁掉攻击的痕迹,并在受损害的系统上建立一个新的安全漏洞或后门,以便在原始攻击被发现后可以继续访问这个系统。
· 入侵者可能会安全包探测器,其包括特洛伊马程序,用来窥探所在系统的活动,收集telnet和ftp的帐户名和口令。黑客用这些信息可以将攻击扩展到其它机器。
· 入侵者可能会发现对受损系统有信任的主机。这样黑客就可以利用某个主机的这种弱点,并将攻击在整个机构网络上舱上展开。
· 如果黑客能够在受损系统上获得特权访问权限,他,或她就可以读取邮件,搜索私人文件,盗取私人文件,毁掉或毁坏重要数据。
基本的防火墙设计
在设计internet防火墙时,网络管理员必须做出几个决定:
· 防火墙的姿态(stance)
· 机构的整体安全政策
· 防火墙的经济费用
· 防火墙系统的组件或构件
防火墙的姿态
防火墙的姿态从根本上阐述了一个机构对安全的看法。internet防火墙可能会扮演两种截然相反的姿态:
· 拒绝没有特别允许的任何事情。这种姿态假定防火墙应该阻塞所有的信息,而每一种所期望的服务或应用都是实现在case-by-case的基础上。这是一个受推荐的方案。其建立的是一个非常安全的环境,因为只有审慎选择的服务才被支持。当然这种方案也有缺点,就是不易使用,因为限制了提供给用户们的选择范围。
· 允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发所有的信息,任何可能存在危害的服务都应在case-by-case的基础上关掉。这种方案建立的是一个非常灵活的环境,能提供给用户更多的服务。缺点是,由于将易使用这个特点放在了安全性的前面,网络管理员处于不断的响应当中,因此,随着网络规模的增大,很难保证网络的安全。
机构的安全策略
如前所述,internet防火墙并不是独立的,它是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保成功,机构必须知道其所有保护的是什么。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略,无论如何精心构建的防火墙都会被绕过去,从而整个内部网络都暴露在攻击面下。
机构能够负担起什么样的防火墙?简单的包过滤防火墙的费用最低,因为机构至少需要一个路由器才能连入internet,并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功能,而费用在$4,000到$30,000之间,具体价格要看系统的复杂性和要保护的系统的数量。如果一个机构有自己的专业人员,也可以构建自己的防火墙系统,但是仍旧有开发时间和部署防火墙系统等的费用问题。还有,防火墙系统需要管理,一般性的维护、软件升级、安全上的补漏、事故处理等,这些都要产生费用。
图4 包过滤路由器
防火墙系统的组成
在确定了防火墙的姿态、安全策略、以及预算问题之后,就能够确定防火墙系统的特定组件。典型的防火墙有一个或多个构件组成:
· 包过滤路由器
· 应用层网关(或代理服务器)
· 电路层网关
在后面我们将讨论每一种构件,并描述其如何一起构成一个有效的防火墙系统。
构件:包过滤路由器
包过滤路由器(图4)对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给ip转发过程的包头信息。包头信息中包括ip源地址、ip目标端f地址、内装协(icp、udp、icmp、或ip tunnel)、tcp/udp目标端口、icmp消息类型、包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。
与服务相关的过滤
包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的tcp/udp端口号上。例如,telnet服务器在tcp的23号端口上监听远地连接,而smtp服务器在tcp的25号端口上监听人连接。为了阻塞所有进入的telnet连接,路由器只需简单的丢弃所有tcp端口号等于23的数据包。为了将进来的telnet连接限制到内部的数台机器上,路由器必须拒绝所有tcp端口号等于23并且目标ip地址不等于允许主机的ip地址的数据包。
一些典型的过滤规则包括:
· 允许进入的telne会话与指定的内部主机连接
· 允许进入的ftp会话与指定的内部主机连接
· 允许所有外出的telne会话
· 允许所有外出的ftp会话
· 拒绝所有来自特定的外部主机的数据包 与服务无关的过滤
有几种类型的攻击很难使用基本的包头信息来识别,因为这几种攻击是与服务无关的。可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定,因为过滤规则需要附加的信息,并且这些信息只能通过审查路由表和特定的ip选项、检查特定段的内容等等才能学习到。
下面是这几种攻击类型的例子:
源ip地址欺骗式攻击(sowrce ip address spoofing attacks)。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包,即数据包中所包含的ip地址为内部网络上的ip地址。入侵者希望借助于一个假的源ip地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中,来自内部的信任主机的数据包被接受,而来自其它主机的数据包全部被丢弃。对于源ip地址欺骗式攻击,可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。
源路由攻击(source rowing attacks)。这种类型的攻击的特点是源站点指定了数据包在internet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。
极小数据段式攻击(tiny fragment attacks)。这种类型的攻击的特点是入侵者使用了ip分段的特性,创建极小的分段并强行将tcp头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。对于这种类型的攻击,只要丢弃协议类型为tcp,ip fragmentoffset等于1的数据包就可安然无恙。
包过滤路由器的优点
已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外,实现包过滤几乎不再需要费用(或极少的费用),因为这些特点都包含在标准的路由器软件中。由于internet访问一般都是在wan接口上提供,因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。另外,包过滤路由器对用户和应用来讲是透明的,所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。
包过滤路由器的缺点
定义数据包过滤器会比较复杂,因为网络管理员需要对各种internet服务、包头格式、以及每个域的意义有非常深入的理解。如果必须支持非常复杂的过滤,过滤规则集合会非常的大和复杂,因而难于管理和理解。另外,在路由器上进行规则配置之后,几乎没有什么工具可以用来难过滤规则的正确性,因此会成为一个脆弱点。
任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令,能够让主机修改访问控制和与安全有关的文件,使得入侵者能够获得对系统的访问权。
一般来说,随着过滤器数目的增加,路由器的吞吐量会下降。可以对路由器进行这样的优化抽取每个数据包的目的ip地址,进行简单的路由表查询,然后将数据包转发到正确的接口上去传输。如果打开过滤功能,路由器不仅必须对每个数据包作出转发决定,还必须将所有的过滤器规则施用给每个数据包。这样就消耗了cpu时间并影响系统的性能。
ip包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境/数据。例如,网络管理员可能需要在应用层过滤信息以便将访问限制在可用的ftp或telnet命令的子集之内,或者阻塞邮件的进入及特定话题的新闻进入。这种控制最好在高层由代理服务和应用层网关来完成。
构件:应用层网关
应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理internet服务在防火墙系统中的进出,而是采用为每种所需服务而安装在网关上特殊代码(代理服务)的方式来管理internet服务。如果网络管理员没有为某种应用安装代理编码,那么该项服务就不支持并不能通过防火墙系统来转发。同时,代理编码可以配置成只支持网络管理员认为必须的部分功能。
这样增强的安全带来了附加的费用:购买网关硬件平台、代理服务应用、配置网关所需的时间和知识、提供给用户的服务水平的下降、由于缺少透明性而导致缺少友好性的系统。同以往一样,仍要求网络管理员在机构安全需要和系统的易于使用性方面作出平衡。允许用户访问代理服务是很重要的,但是用户是绝对不允许注册到应用层网关中的。假如允许用户注册到防火墙系统中,防火墙系统的安全就会受到威胁,因为入侵者可能会在暗地里进行某些损害防火墙有效性运动作。例如,入侵者获取root权限,安装特洛伊马来截取口令,并修改防火墙的安全配置文件。
堡垒主机(bastion host)
与包过滤路由器(其允许数据包在内部系统和外部系统之间直接流入和流出)不同,应用层网关允许信息在系统之间流动,但不允许直接交换数据包。允许在内部系统和外部系统之间直接交换数据包的主要危险是驻留在受保护网络系统上的主机应用避免任何由所允许服务带来的威胁。
一个应用层网关常常被称做“堡垒主机”(bastion host)。因为它是一个专门的系统,有特殊的装备,并能抵御攻击。有几种特点是专门设计给堡垒主机来提供安全性的:
· 堡垒主机的硬件执行一个安全版本的操作系统。例如,如果堡垒主机是一个unix平台,那么它执行unix操作系统的安全版本,其经过了特殊的设计,避免了操作系统的脆弱点,保证防火墙的完整性。
· 只有网络管理员认为必需的服务才能安装在堡垒主机上。原因是如果一个服务没有安装,它就不能受到攻击。一般来说,在堡垒主机上安装有限的代理服务,如telnet,dns,ftp,smtp以及用户认证等。
· 用户在访问代理服务之前堡垒主机可能要求附加认证。比如说,堡垒主机是一个安装严格认证的理想位置。在这里,智能卡认证机制产生一个唯一的访问代码。另外每种代理可能在授予用户访问权之前进行其自己的授权。
· 对代理进行配置,使得其只支持标准应用的命令集合的子集。如果代理应用不支持标准的命令,那么很简单,被认证的用户没有使用该命令的权限。
· 对代理进行配置,使得其只允许对特定主机的访问。这表明,有限的命令/功能只能施用于内部网络上有限数量的主机。
· 每个代理都通过登记所有的信息、每一次连接、以及每次连接的持续时间来维持一个详细的审计信息。审计记录是发现和终止入侵者攻击的一个基本工具。
· 每个代理都是一个简短的程序,专门为网络安全目的而设计。因此可以对代理应用的源程序代码进行检查,以确定其是否有纰漏和安全上的漏洞。比如说,典型的unix邮件应用可能包括20,000行代码,而邮件代理只有不到1,000行的程序。
· 在堡垒主机上每个代理都与所有其它代理无关。如果任何代理的工作产生问题,或在将来发现脆弱性,只需简单的卸出,不会影响其它代理的工作。并且,如果一些用户要求支持新的应用,网络管理员可以轻而易举的在堡垒主机上安装所需应用。
· 代理除了读取初始化配置文件之外,一般不进行磁盘操作。这使得入侵者很难在堡垒主机上安装特洛伊马程序或其它的危险文件。
· 每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。
| 
